La Commissione europea ha adottato questa settimana il primo sistema europeo di certificazione della cybersicurezza, in linea con la legge europea in materia. “Il sistema offre una serie di norme e procedure a livello dell’Unione su come certificare i prodotti ITC nel loro ciclo di vita e renderli così più affidabili per gli utenti. La certificazione fornisce un riconoscimento formale del fatto che i prodotti possono essere affidabili per proteggere sia l’hardware che il software che i cittadini utilizzano quotidianamente”, spiega Bruxelles con una nota. Lo schema volontario integrerà la legge sulla resilienza informatica che introduce requisiti vincolanti di sicurezza informatica per tutti i prodotti hardware e software nell’Unione europea.

L’adozione del primo schema di certificazione della sicurezza informatica rappresenta “una pietra miliare verso un mercato unico digitale dell’Unione europea affidabile ed è un pezzo del puzzle del quadro di certificazione della sicurezza informatica dell’Unione europea che è attualmente in fase di realizzazione”, sottolinea Juhan Lepassaar, direttore esecutivo dell’Agenzia dell’Unione europea per la cibersicurezza. Questo importante passo, si legge, contribuisce a promuovere la leadership digitale dell’Europa a livello mondiale. Inoltre, il sistema darà impulso all’attuazione della direttiva Nis 2. Lo schema sarà pubblicato a breve nella Gazzetta ufficiale dell’Unione europea ed entrerà in vigore 20 giorni dopo la pubblicazione.

“Un bollino che certifica i livelli di cyber sicurezza è certamente una garanzia, ma non è ovviamente la panacea”, commenta Stefano Mele, partner e responsabile del dipartimento cybersecurity & space economy law dello studio legale Gianni & Origoni. “Detto questo, però, questo sistema di certificazioni, atteso da tempo, è una chiara indicazione della strategia dell’Unione europea di responsabilizzare i produttori di hardware, software e servizi venduti all’interno dei confini dei 27 Stati membri. Mentre il Cyber Security Act interviene su ciò che è già venduto nel mercato europeo, chiedendo volontariamente ai produttori di certificare i propri prodotti, un’altra norma molto attesa come il Cyber Resilience Act, invece, imporrà a monte di prendere obbligatoriamente in considerazione la cybersicurezza nello sviluppo e nell’intero ciclo di vita dei prodotti con elementi digitali”, aggiunge l’avvocato.

È la prima certificazione ma non sarà l’unica. Infatti, sono attese in particolare quelle su 5G e servizi cloud, settori decisivi per il futuro digitale, in quanto riguardano le principali tecnologie che sono alla base del trasferimento e della conservazione delle nostre informazioni e dei dati personali, come ricorda Mele. Inoltre, la Commissione europea ha proposto di includere anche i managed security service: un altro elemento centrale, che potrebbe aiutare a proteggere soprattutto le piccole e medie imprese, aggiunge.

“Si tratta di un passo molto importante nella ‘guerra’ per il posizionamento economico nel contesto tecnologico in atto tra Stati Uniti, Unione europea e Cina”, spiega Mele. “Infatti, seppure siano meramente volontarie, sarà il mercato a imporre ai produttori di tutto il mondo di muoversi verso questo genere di certificazioni: molto presto mi aspetto che senza un ‘bollino di cybersicurezza’ i produttori rischieranno di essere di fatto tagliati fuori”.

Inevitabilmente, però, i prezzi saliranno palesando ancora una volta, se mai ce ne fosse bisogno, che la sicurezza informatica ha un costo. “Questo sistema, almeno in una prima fase, implicherà inevitabilmente un aumento dei prezzi dell’hardware, software e servizi certificati. Tuttavia, mi aspetto che tale aumento sia moderato e soprattutto scalabile, ma contestualmente offrirà importantissimi benefici”, conclude Mele.